Análises da NDR e da Illumio: Detecção e contenção de movimentos laterais na nuvem híbrida.

Durante anos, as plataformas de detecção e resposta de rede (NDR) serviram como o microscópio da equipe de segurança.

Eles inspecionam o tráfego de rede no nível de pacotes, analisam o comportamento em toda a infraestrutura e revelam atividades suspeitas ocultas em ambientes complexos. Quando algo dá errado, as ferramentas NDR ajudam os investigadores a reconstruir o que aconteceu.

Essa capacidade fazia sentido quando a maioria dos aplicativos residia em centros de dados e o tráfego fluía por caminhos de rede previsíveis.

A infraestrutura moderna já não funciona dessa forma.

Atualmente, as aplicações são executadas em ambientes híbridos que abrangem sistemas locais, múltiplas nuvens, contêineres, APIs e cargas de trabalho de curta duração. E os atacantes se adaptaram a essa complexidade.  

Em vez de atacar o perímetro, eles se infiltram por meio de credenciais roubadas, serviços expostos ou configurações incorretas. Uma vez que conquistam uma posição estratégica, o verdadeiro ataque começa, à medida que se movem lateralmente pelo ambiente.

Naquele momento, entender o que aconteceu ontem não basta. As equipes de segurança precisam visualizar padrões de comunicação de risco em tempo real e impedir os invasores antes que eles expandam seu acesso.

Essa mudança expõe as limitações do NDR tradicional. Os ambientes modernos de hoje exigem uma nova abordagem para detecção e contenção de violações.

É aí que a Illumio Insights entra em cena.

Illumio Insights: detecção criada para contenção de violações.

A Illumio Insights adota uma abordagem diferente para a detecção e resposta a ameaças.

Em vez de depender da captura de pacotes e da reconstrução do tráfego após um incidente, o Insights analisa padrões de comunicação em tempo real em todo o ambiente. Ele ingere dados de fluxo de plataformas em nuvem, sistemas locais e infraestrutura híbrida para construir um mapa em tempo real de como as cargas de trabalho interagem.

No centro dessa capacidade está o gráfico de segurança de IA da Illumio.

O gráfico modela as relações entre os sistemas e os avalia continuamente em busca de padrões de comunicação de risco, conexões suspeitas e sinais de movimentação lateral.  

Isso permite que o Insights identifique e priorize os riscos antes que os invasores possam explorá-los. As equipes de segurança podem visualizar atividades suspeitas no momento em que acontecem, em vez de reconstruir os eventos posteriormente.

O Insights também simplifica a investigação.  

As plataformas de detecção tradicionais geram um grande volume de alertas que exigem análise manual. Dentro do Illumio Insights, o Insights Agent atua como um assistente de IA que ajuda os analistas a se concentrarem no que importa. Analisa as detecções, prioriza os riscos, mapeia as descobertas para as técnicas do MITRE ATT&CK e recomenda ações para lidar com a ameaça.

Mas a maior diferença aparece após a detecção. A maioria das ferramentas NDR para na identificação de ameaças, enquanto a Illumio se concentra em contê-las.

O Insights integra-se diretamente com o Illumio Segmentation para aplicar controles em nível de rede que impedem que invasores se movam lateralmente pelo ambiente. As equipes de segurança podem isolar cargas de trabalho comprometidas, bloquear caminhos de comunicação de risco e impedir que os invasores expandam o acesso.

A detecção revela a ameaça, mas o confinamento impede a violação.

Para que foram projetadas as plataformas NDR?

No coração de toda plataforma NDR está a inspeção profunda de pacotes (DPI).

Essas soluções dependem de sensores de rede que analisam o tráfego que flui em uma rede em tempo real. Alguns sensores são virtuais, enquanto outros são dispositivos físicos conectados diretamente à infraestrutura do centro de dados.

À medida que os pacotes se movem pela rede, as soluções NDR os capturam e analisam em velocidades extremamente altas. Eles podem descriptografar o tráfego, inspecionar os dados e examinar cada detalhe do fluxo de comunicação.

Mas armazenar cada pacote exigiria uma capacidade de armazenamento enorme. Isso exige que as plataformas NDR adotem uma abordagem diferente.

Em vez de armazenar o tráfego bruto, eles extraem detalhes importantes sobre o que ocorreu e salvam esses detalhes como metadados. Esses metadados se tornam um registro histórico pesquisável da atividade da rede.

Se algo suspeito acontecer, as equipes de segurança podem voltar atrás e reconstruir o que ocorreu — quais sistemas se comunicaram, quais dados foram transferidos e como o evento se desenrolou.

Essa capacidade forense é incrivelmente poderosa. De fato, para alguns setores que dependem de redes de data centers locais, como o setor bancário e algumas agências federais, isso é exigido por regulamentações de conformidade. Essas organizações devem manter registros de rede detalhados para fins de investigação e conformidade .

Nesses ambientes, as soluções NDR fornecem exatamente o que as equipes precisam: uma visão histórica detalhada da atividade da rede.

Onde a NDR começa a ter dificuldades

A arquitetura que torna as soluções NDR poderosas também revela suas limitações.

A maioria das plataformas NDR foi desenvolvida especificamente para redes de data centers locais. Seus sensores ficam localizados dentro da rede e analisam o tráfego que flui pela infraestrutura física.

Esse design funciona extremamente bem em ambientes tradicionais. Mas a infraestrutura moderna tem uma aparência muito diferente.

Atualmente, as organizações executam aplicativos em ambientes híbridos que combinam sistemas locais, múltiplas nuvens e plataformas de contêineres.

E embora os fornecedores de NDR tenham adicionado suporte à nuvem ao longo dos anos, esses recursos geralmente são adições complementares, em vez de características essenciais do projeto. Consequentemente, suas maiores capacidades permanecem dentro do centro de dados.

Isso cria diversos desafios.

A detecção de ameaças na nuvem é mais fraca.

Em ambientes de nuvem, as plataformas NDR normalmente dependem de registros de fluxo na nuvem em vez de inspeção profunda de pacotes.

Os registros de fluxo fornecem visibilidade da comunicação em rede. Mas elas não possuem o nível de detalhamento de pacotes necessário para a detecção em plataformas NDR.

Isso significa que os recursos de detecção de ameaças que funcionam bem em infraestruturas locais muitas vezes não se adaptam perfeitamente a ambientes de nuvem.

Para organizações que utilizam infraestrutura híbrida, isso cria pontos cegos.

A detecção ainda depende muito de investigações.

Muitos fornecedores de NDR (Registro Nacional de Desastres) adicionaram recursos de aprendizado de máquina e IA (Inteligência Artificial) para ajudar a identificar anomalias. Eles estabelecem uma linha de base do comportamento da rede e procuram por picos incomuns ou desvios dos padrões normais de tráfego.

Se algo incomum acontecer, o sistema gera um alerta. Assim que o alerta é emitido, porém, a responsabilidade volta a recair sobre os analistas humanos.

As equipes de segurança devem investigar o evento, determinar se ele representa uma atividade maliciosa e decidir como responder.

A ferramenta revela o sinal, enquanto os humanos ainda realizam o trabalho pesado.

O foco ainda é a análise histórica.

As plataformas NDR são excelentes para ajudar as equipes a investigar o que aconteceu no passado.

Essa capacidade é valiosa para análises forenses, relatórios regulatórios e investigações pós-incidente.

Mas os ataques modernos são rápidos. Quando as equipes conseguem reconstruir os eventos, o invasor pode já ter expandido seu acesso por todo o ambiente.

Por que tantas organizações ainda usam NDR?

Apesar dessas limitações, as ferramentas NDR continuam sendo amplamente utilizadas.

Em alguns ambientes, eles são obrigatórios. Determinadas agências governamentais e setores altamente regulamentados, como o bancário, devem usar a inspeção profunda de pacotes (DPI) para atender aos requisitos de conformidade. Para essas organizações, o NDR é inegociável.

Para outras organizações, o NDR é simplesmente a ferramenta disponível mais próxima para detecção de ameaças na rede. Eles podem não precisar de inspeção completa em nível de pacote ou de registros forenses de longo prazo.  

O que eles realmente precisam é da capacidade de detectar atividades suspeitas em toda a sua rede. Nesses ambientes, a inspeção profunda de pacotes pode ser excessiva. Ela coleta quantidades enormes de informações e requer uma infraestrutura significativa para operar.

No entanto, muitas organizações o implementam mesmo assim porque não havia uma opção melhor.

É aí que a Illumio Insights entra em cena.

Repensando a detecção de redes para ambientes híbridos

O NDR continua sendo uma ferramenta poderosa para organizações que necessitam de inspeção profunda de pacotes e visibilidade forense histórica. Mas muitas organizações hoje operam em ambientes que o NDR nunca foi projetado para proteger.

Infraestruturas híbridas, cargas de trabalho efêmeras e arquiteturas nativas da nuvem exigem uma abordagem diferente.

As equipes de segurança precisam detectar padrões de comunicação de risco em todo o ambiente e responder antes que os invasores possam se espalhar.

O Illumio Insights oferece essa capacidade.

Ao combinar detecção em tempo real, análise orientada por IA e segmentação integrada, ajuda as organizações a irem além da investigação e a partirem para a verdadeira contenção de violações.

Experimente o Illumio Insights gratuitamente. Para identificar comunicações de risco em seu ambiente e impedir que invasores se movam lateralmente.